Sikkerhetsforskere ved Proofpoint har oppdaget en Omicron phishing-kampanje med varianttema rettet mot nordamerikanske universiteter. Phishing-e-postene tar sikte på å stjele påloggingsinformasjon for universitetet. Selv om formålet med det for øyeblikket er ukjent. Phishing-e-postene er rettet mot studenter ved Vanderbilt University, University of Central Missouri og andre nordamerikanske universiteter.
Dette er absolutt ikke første gang ondsinnede skuespillere har brukt folks angst over den pågående pandemien til sin egen fordel. Det har vært mange kampanjer tidligere. Så snart pandemien begynte, begynte ondsinnede kampanjer med coronavirus-tema. Kampanjene endres vanligvis avhengig av situasjonen. Da vaksinene begynte å bli tilgjengelige, inviterte ondsinnede e-postkampanjer folk til å registrere seg for skuddene sine. Og nå som den nye Omicron varianten sprer seg, har ondsinnede skuespillere tilpasset kampanjene sine for å nevne Omicron .
Denne spesielle phishing-e-postkampanjen ber enten studentene om å klikke på en lenke eller åpne et vedlegg. Ifølge Proofpoint er emnelinjene i disse e-postkampanjene vanligvis en form for «Oppmerksomhet kreves – Informasjon angående COVID-19 Omicron Variant – 29. Mens de fleste phishing-kampanjer med COVID-19-tema sendes fra e-postadresser som bare er laget for å se ut som legitime, har Proofpoint sagt at ondsinnede aktører også bruker legitime, kompromitterte universitetskontoer.
«Mens mange meldinger sendes via falske avsendere, har Proofpoint observert trusselaktører som utnytter legitime, kompromitterte universitetskontoer for å sende covid-19-tematrusler. Det er sannsynlig at trusselaktørene stjeler legitimasjon fra universiteter og bruker kompromitterte postkasser for å sende de samme truslene til andre universiteter, sier Proofpoint.
Hvis brukere klikker koblingene, vil de enten bli ført til nettsteder som ligner på legitime påloggingssider for universiteter eller generiske Office 365-sider. De falske universitetssidene kan se nesten identiske ut som de legitime, noe som indikerer at det i det minste er lagt ned litt innsats i disse phishing-kampanjene. Det kan være nok å lure mindre oppmerksomme brukere. Imidlertid bør de som tar hensyn til detaljer eller er mer kjent med phishing-forsøk, legge merke til at URL-en til nettstedet de blir ledet til, ikke samsvarer med universitetets URL. Adressen til et nettsted er vanligvis den største gaven når det gjelder phishing-kampanjer.
For å forhindre at brukere innser hva som skjer, så snart brukere skriver inn påloggingsinformasjonen sin og trykker på «Logg på», vil de bli omdirigert til universitetets legitime nettsted. Fordi det å måtte logge på flere ganger faktisk skjer fra tid til annen, kan det hende at mange brukere ikke tenker to ganger på å måtte skrive inn påloggingsinformasjonen sin igjen. Men så snart legitimasjonen er skrevet inn på phishing-nettstedet, blir de umiddelbart overført til nettkriminelle som driver denne phishing-kampanjen. Proofpoint bemerket at denne kampanjen ikke tilskrives noen kjent nettkriminalitetsgruppe. Målet med denne kampanjen er også ukjent. Proofpoint tror også at disse kampanjene vil øke i antall de påfølgende månedene.
«Det er sannsynlig at denne aktiviteten vil øke i løpet av de neste to månedene etter hvert som høyskoler og universiteter sørger for og krever testing for studenter, fakultet og andre arbeidere som reiser til og fra campus i løpet av og etter høytiden, og etter hvert som Omicron varianten dukker opp i større grad», har Proofpoint advart.